zwei root accounts? Oder user:adm ?

[michaa7]

Wie macht ihr das mit rechnern die ihr eventuell im bekanntenkreis (mit-) verwaltet? Ich möchte einerseits MEIN root-passwort natürlich für mich behalten, andererseits in absprache dem besitzer alle rechte geben, die er wünscht oder braucht.
Ich will das möglichst unkompliziert handhaben. Spricht etwas dagegen mehr als einen user in der gruppe "root" zu haben? Wie restriktiv ist die gruppe adm? Ich hielt einen account user:adm eigentlich für ausreichend, aber ich habe mir nicht recht überblick über die einschränkungen verschaffen können.

Wie regelt ihr das?

[KBDCALLS]

Les dir mal Punkt 9.2 in der Quickrefernz von Debian durch.

Zwei Accounts unter der gleichen UID/GID macht wenig Sinn. Die können ja nicht auseinandergehalten werden. Trotz unterschiedlicher Namen. Die Gruppe ADM ist eigentlich nur dazu da das man su ohne Passwort benutzen kann. Und um Logfiles zu lesen. Anderere Zwecke wüßte ich jetzt nicht auf Anhieb. Geeigneter dürfte sudo bzw. super für dich sein.

PS: Einen User adm gibt es nicht , nur die Gruppe

[michaa7]

Zwei Accounts unter der gleichen UID/GID macht wenig Sinn. Die können ja nicht auseinandergehalten werden. Trotz unterschiedlicher Namen.

Ich verstehe das nicht, wenn ich einen superuser "useradmin" anlege, also eine speziellen user, den ich zum mitglied der GRUPPE "root" mache, dann bekommt der die gleiche UID wie root? Oder wie war das gemeint mit "nicht auseinander halten?

Anders gefragt: Ich möchte meinem bruder auf seinem rechner vollen zugriff geben, gleichzeitig jedoch in absprache mit ihmdie möglichkeit des fernzugriffs über ssh haben. Für ssh habe ich root login deaktiviert. Ergo gibt es zu diesem zweck auch einen user account für mich. Beide passwörter kenne nur ich ( und das soll so bleiben, weil das ja die gleichen sind, die ich für meinen eigenen rechner verwende ).

Wenn es also keinen sinn macht für meinen bruder einen superuseraccount nach dem muster useradmin:root einzurichten, dann bliebe eigentlich nur, das rootpasswort abzuändern und auch ihm zu geben. Vllt ist das das unaufwendigste.

[herrchen]

wenn ich einen superuser "useradmin" anlege, also eine speziellen user, den ich zum mitglied der GRUPPE "root" mache, dann bekommt der die gleiche UID wie root?

nein, natürlich nicht. er ist ja nur in der selben gruppe --> GID.

du kannst natürlich einen zweiten user mit der UID 0 anlegen und diesem ein anderes passwort verpassen.
dann musst du nicht dein passwort mit deinem bruder teilen ...

herrchen

[hupfdule]

Wenn es also keinen sinn macht für meinen bruder einen superuseraccount nach dem muster useradmin:root einzurichten, dann bliebe eigentlich nur, das rootpasswort abzuändern und auch ihm zu geben. Vllt ist das das unaufwendigste.

Nein. KBDCALLS hat dir doch den Tipp mit sudo gegeben. Du kanns deinem Bruder das Recht geben, mittels sudo sämtliche Befehle als Superuser auszuführen. Dazu brauch dein Bruder nicht das root-Passwort.

[michaa7]

Erstmal danke für eure antworten. Wenn ich hier nun dennoch nachfrage, so bitte ich weiterhin um eure geduld. Der rechner ist bereits versendet, und die änderungen werde ich im fernzugriff vornehmen müssen. Meinen zugriff habe ich getestet ( hab ja über ssh installiert und eingerichtet), nur den zukünftigen admin meines bruders habe ich auf die schnelle eingerichtet und im eben dummerweise die gruppe "adm" zugewiesen.

Einen zweiten user mit dr UID "0" einzurichten widerstrebt mir irgendwie ( geht das den überhaupt?) Spricht irgendetwas dagegen, den bestehenden account "adminuser:adm" per fernzugriff auf "adminuser:root" zu ändern? Ist das irgendwie problematisch, wenn ein user mit rootrechten ne UID oberhalb 1000 hat?

Zu sudo: Da habe ich in der beschreibung gelesen, das das configfile mit "vi" bearbeitet werden MUSS. Hmm, ersten kenne ich mich mit vi nicht aus und dann das noch über fernzugriff.

Aus diesem grund, wenn nichts dagegen spricht werde ich den administrationsaccount wie oben beschrieben einrichten.

[GoKi]

Ist das irgendwie problematisch, wenn ein user mit rootrechten ne UID oberhalb 1000 hat?

Er ist einfach kein root, root hat die uid 0. Man kann aber mehrere User mit der uid 0 erstellen. Ob das sinnvoll ist, ist wieder eine andere Frage.

Zu sudo: Da habe ich in der beschreibung gelesen, das das configfile mit "vi" bearbeitet werden MUSS. Hmm, ersten kenne ich mich mit vi nicht aus und dann das noch über fernzugriff.

Da hast Du nicht genau gelesen. Der Befehl lautet visudo (zusammen geschrieben) und welcher Editor letztendlich gestartet wird, kann z.B. durch die Umgebungsvariable EDITOR bestimmt werden, z.B.

Code: Alles auswählen

export EDITOR=nano
visudo

visudo ist ein Wrapper, der den Syntax der Datei überprüft. Damit man sich durch eine fehlerhafte Datei nicht ausperrt. Mehr kannst Du in der Manpage von visudo nachlesen.

Ich würde auch eine sudo Lösung bevorzugen, der Besitzer des Rechners bekommt root Passwort und dein Account zur Fernadministration darf alles (oder evtl nur manche Sachen) per sudo ausführen.

[jaywalker]

Wenn man per sudo eine Shell öffnen kann, darf man eigentlich alles... Das ist nicht wirklich komplizierter als ein "su -" aufzurufen, und man kann verschiedene Passwörter benutzen.

Grüße
Heiner

[Danielx]

Hallo,

zu den zwei root-Accounts:
Jeder Benutzer mit UID 0 besitzt root-Rechte!
Es ist möglich einen zweiten Benutzer mit UID 0 und auch GID 0 zu erstellen.

Code: Alles auswählen

useradd -u 0 -o -g 0 -c 'zweiter root Account' -s /bin/bash -d /root/test -m test
passwd test

Aber, wie gesagt, löst man so ein Problem eigentlich besser mit sudo

Gruß,
Daniel